حداقل سه برنامک بدخواه وجود دارند که از یک آسیب‌پذیری برای افزایش سطح دسترسی خود و سرقت اطلاعات استفاده می‌کنند. تولیدکنندگان موفق شده بودند آن‌ها را در Google Paly Store قرار دهند اما این سه برنامک اکنون از گوگل پلی حذف شده‌اند.

این برنامک‌ها که توسط محققان ترندمیکرو (Trend Micro) شناسایی شده‌اند، با استفاده از یک آسیب‌پذیری، سطح دسترسی خود را افزایش می‌دهند و سپس بدافزارهای دیگری را دانلود و اجرا می‌کنند. این آسیب‌پذیری از نوع «استفاده پس از آزادسازی» یا use-after-free است. این سه برنامک Camero، FileCrypt و callCam نام دارند. اگر این برنامک‌ها روی گوشی شما نصب‌شده‌اند، آن‌ها را حذف کنید.

به گفته محققان ترندمیکرو «این برنامک‌ها خود را به عنوان برنامه عکاسی و مدیریت فایل جا می‌زنند. ما بر اساس اطلاعات گواهی یکی از این برنامک‌ها حدس می‌زنیم که آن‌ها از مارس 2019 [اسفند 97] فعال بوده‌اند». آسیب‌پذیری مذکور با شناسه CVE-2019-2215 شناخته می‌شود که برنامک‌ها می‌توانند با سوءاستفاده از آن، با دسترسی کرنل، کد اجرا کنند. جالب اینجا است که این برنامک‌ها از اسفند 97 فعال بوده‌اند، اما آسیب‌پذیری تا قبل از مهر 98 برطرف نشده بود.

به گفته محققان، وقتی قربانی یکی از برنامک‌های Camero یا FileCrypt Manager را نصب می‌کرد، این برنامک‌های ظاهراً سالم به یک سرور کنترل و فرمان متصل می‌شدند و دو فایل را دانلود می‌کردند. این دو فایل به همراه یکدیگر با استفاده از آسیب‌پذیری فوق، دسترسی سطح کرنل پیدا می‌کردند و درنهایت برنامک callCam را نصب می‌کردند. ابزار callCam می‌تواند اطلاعات سخت‌افزاری دستگاه، موقعیت مکانی، برنامک‌های نصب‌شده و داده‌های برنامک‌هایی مثل WeChat، Outlook، Twitter، Yahoo، Gmail و مرورگر Chrome را جمع‌آوری کند. این اطلاعات در یک فایل رمز شده ذخیره می‌شود تا بعداً ارسال شود.

بر اساس اطلاعات سرورهای کنترل و فرمان به نظر می‌رسد گروه SideWinder پشت این برنامک‌ها است که از سال 2012 مشغول عملیات هک بوده است. ظاهراً این تیم سیستم‌های دولتی و نظامی پاکستان را هدف قرار داده و اغلب از بدافزارهای تحت ویندوز برای مقاصد خود استفاده می‌کرده است.

منبع: Register